Więc jest ciąg znaków. Jest skompresowany na gzip i base64, a kod dekoduje bazę, a następnie ją kompresuje.
Kiedy to zrobił, ja wynikał z tego:
<? eval(base64_decode('...')); ?>
Innym warstwa base64, która jest długa 720440 bajtów.
Teraz, dekodowanie base64, mamy 506961 bajtów kodu exploita.
Wciąż sprawdzam kod i zaktualizuję tę odpowiedź, gdy będę miał więcej zrozumienia. Kod jest ogromny.
Wciąż poprzez czytanie kodu, a (bardzo dobrze zrobione) exploit pozwala narzędzia te mają być wystawione na hakera:
- setup backdoor TCP
- nieautoryzowany dostęp shell
- czytania wszystkim htpasswd, .htaccess, hasło i pliki konfiguracyjne
- dziennika wycierając
- MySQL dostęp (odczyt, zapis)
- append Kod do wszystkich plików pasujących do wzorca nazw (masa exploit)
- RFI/LFI skaner
- powódź UDP
- informacje jądro
Prawdopodobnie jest to profesjonalny PHP opartych całego serwera wykorzystania narzędzi i widząc, że ma ładny interfejs HTML i całe mnóstwo, może być z łatwością wykorzystany przez pro hackera, a nawet scenicznego kiddie.
Ten exploit nazywa się c99shell
(dzięki Yi Jiang) i okazuje się być dość popularny, o którym mówi się i działa już od kilku lat. Google udostępnia wiele wyników dotyczących tego exploita.
Czy to możliwe dla Ciebie aby wkleić kod tutaj? Nie jestem w stanie otworzyć tego linku .. – jyz
Obawiam się, że to jest jeszcze wykonane. :(Btw można go rozpakować, ale nie eval to. – fabrik
@jyzuz: Kod jest ogromny – fabrik